記事本文(要約)
サイバーセキュリティ研究者は、Ivanti Connect Secure(ICS)の脆弱性を悪用してインストールされる新しいマルウェア「DslogdRAT」について警告しています。この脆弱性(CVE-2025-0282)は未認証のリモートコード実行を可能にし、2024年12月に日本の組織を攻撃するために悪用されましたが、2025年1月に修正されました。中国系のサイバースパイグループUNC5337がこのゼロデイ脆弱性を利用して、SPAWNというマルウェアを配布したとされています。また、以前はUNC5221という別の中国系ハッキンググループがICSの別の脆弱性(CVE-2025-22457)を悪用しました。
DslogdRATは、外部サーバーと接続しシステム情報を送信、シェルコマンドの実行やファイルのアップロード/ダウンロードなどを行います。この発表と同時に、GreyNoise社はICSおよびIvanti Pulse Secureデバイスを狙った不審なスキャン活動が増加していると警告し、将来的な攻撃の準備の可能性について指摘しています。特定のCVEに関連付けられていませんが、スパイクが確認された際はその後の攻撃が活発化することが多いとされています。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 25 Apr 2025 14:13:00 +0530
Original URL: https://thehackernews.com/2025/04/dslogdrat-malware-deployed-via-ivanti.html
詳細な技術情報
この文章では、最近報告されたIvanti Connect Secure (ICS)の脆弱性を悪用した攻撃について詳述されています。以下に、セキュリティに関する重要な詳細情報を提供します。
CVE番号
- CVE-2025-0282: ICSにおける認証なしのリモートコード実行が可能な脆弱性。
- CVE-2025-22457: 別のICSの脆弱性で、SPAWNマルウェアの配布に悪用。
脆弱性の仕組み
- CVE-2025-0282は、ICSにおいて認証されていない攻撃者がリモートから任意のコードを実行できる重大なセキュリティ欠陥です。この脆弱性を利用することで、攻撃者はシステムに不正なコードやマルウェアをインストールすることができます。
攻撃手法
- 脆弱性の悪用: 攻撃者はCVE-2025-0282を利用してシステムに侵入。
- ウェブシェルの設置: Perlで書かれたウェブシェルを設置し、これを通してさらなるペイロードを展開。
- マルウェアの配布: DslogdRATなどのマルウェアをシステムにインストール。
- 通信と指令実行: DslogdRATは外部サーバーと接続し、さらにシステム情報を送信し、シェルコマンドの実行やファイルのアップロード・ダウンロードを実行。
潜在的な影響
- データ漏洩: 感染したシステムからの機密情報の不正取得。
- システムの制御奪取: 攻撃者がシェルコマンドを実行できるため、システムの完全な制御が可能。
- プロキシ利用: 感染したホストが他の攻撃の中継地点として悪用される可能性。
推奨される対策
- パッチ適用: 脆弱性CVE-2025-0282へのパッチをすぐに適用する。
- システム監視: 不審な活動やトラフィックの監視を強化し、疑わしいIPアドレスからのアクセスを遮断。
- ネットワークセグメント分離: 重要なシステムをネットワークで隔離し、損害の範囲を限定する。
- アクセス制限強化: 外部からの認証されていないアクセスに対する制限を強化する。
- セキュリティ教育: 社員や関連する関係者に対し、最新の攻撃手法や防御策についての教育を行う。
情報提供
- 異常なスキャン活動: GreyNoise社によると、ICSとIvanti Pulse Secure (IPS)機器を標的にした不審なスキャン活動の急増が報告されており、今後の攻撃準備が進行中である可能性がある。
